【快訊】

　　近期，火絨接到用戶反饋，稱在登錄中國聯(lián)通官網(wǎng)辦理業(yè)務(wù)時被火絨報毒?；鸾q工程師查看后，發(fā)現(xiàn)中國聯(lián)通官網(wǎng)攜帶木馬腳本（Trojan/JS.Redirector）。當用戶訪問其中某“業(yè)務(wù)辦理記錄”頁面時，即會激活木馬腳本，導致用戶被強行跳轉(zhuǎn)到其他推廣頁面上，推廣內(nèi)容涉及色情、游戲等。不僅如此，該木馬腳本還被設(shè)定為一天只跳轉(zhuǎn)一次，降低用戶警惕性，以便長期存留于該頁面。

　　值得注意的是，聯(lián)通官網(wǎng)的移動端和PC端都存在上述木馬腳本，雖然強行跳轉(zhuǎn)現(xiàn)象目前僅出現(xiàn)在移動端，但不排除未來出現(xiàn)在PC端的可能性?；鸾q用戶無需擔心，火絨安全軟件可攔截該木馬腳本和網(wǎng)頁。

　　最后，為避免更多用戶受該木馬腳本影響，我們建議中國聯(lián)通官方盡快排查上述問題。通過此次事件反映出內(nèi)容審查和安全檢測對官方平臺的重要性，我們也希望能通過此次報告，引起相關(guān)平臺開發(fā)人員、管理人員的重視，及時加強安全審查力度，保障廣大用戶安全。

　　附：【分析報告】

　　一、詳細分析

　　近期根據(jù)用戶反饋，我們對聯(lián)通官網(wǎng)中某頁面代碼進行分析，發(fā)現(xiàn)該頁面中被植入了木馬腳本（Trojan/JS.Redirector），該木馬腳本邏輯執(zhí)行后會控制用戶當前頁面跳轉(zhuǎn)到色情、游戲等廣告頁面。腳本代碼邏輯中控制了每天的訪問次數(shù)，每天僅會訪問一次。我們初步推測其控制服務(wù)器在下放廣告鏈接時，也會對用戶每天的訪問次數(shù)進行限制?，F(xiàn)階段我們發(fā)現(xiàn)，在被植入相同代碼的情況下，只有手機端瀏覽器可以復現(xiàn)跳轉(zhuǎn)過程（控制服務(wù)器可能針對瀏覽器UA進行了判斷），但是不排除PC端瀏覽器也會出現(xiàn)相同跳轉(zhuǎn)行為的可能性。跳轉(zhuǎn)流程，如下圖所示：

　　跳轉(zhuǎn)流程

　　跳轉(zhuǎn)到的色情APP廣告，如下圖所示：

　　從聯(lián)通官網(wǎng)頁面跳轉(zhuǎn)到的色情廣告

　　聯(lián)通官網(wǎng)“業(yè)務(wù)辦理記錄”頁面代碼，如下圖所示：

　　聯(lián)通官網(wǎng)“業(yè)務(wù)辦理記錄”頁面代碼

　　上圖中的tj1.js木馬腳本會先向控制服務(wù)器地址請求跳轉(zhuǎn)相關(guān)的網(wǎng)址鏈接內(nèi)容，之后控制當前頁面進行跳轉(zhuǎn)。tj1.js腳本內(nèi)容，如下圖所示：

　　請求tj1.js腳本內(nèi)容

　　腳本內(nèi)容，如下圖所示：

　　木馬腳本內(nèi)容

　　鏈接存放頁面返回結(jié)果，如下圖所示：

　　代碼執(zhí)行流程

　　后續(xù)跳轉(zhuǎn)流程，依次如下圖所示：

　　第一次跳轉(zhuǎn)

　　第二次跳轉(zhuǎn)

　　第三次跳轉(zhuǎn)

　　第四次跳轉(zhuǎn)

　　最終跳轉(zhuǎn)到色情APP廣告頁面

　　經(jīng)過我們進一步溯源，上述木馬腳本早在2016年10月份就已經(jīng)在聯(lián)通官網(wǎng)頁面中出現(xiàn)。相關(guān)頁面情況，如下圖所示：

　　歷史頁面內(nèi)容

　　有些用戶可能會偶爾遇到，在訪問網(wǎng)頁時突然被跳轉(zhuǎn)到其他廣告頁面的情況。我們通過火絨終端威脅情報系統(tǒng)發(fā)現(xiàn)，引用有相同木馬腳本的站點并非只有聯(lián)通官網(wǎng)，所以上述分析可能可以給用戶遇到類似跳轉(zhuǎn)現(xiàn)場提供參考依據(jù)。除前文中提到的色情廣告外，現(xiàn)階段監(jiān)測到的部分其他被推廣鏈接，如下圖所示：

　　游戲廣告

　　色情APP廣告

　　二、 附錄

　　樣本hash